FedRAMP - FedRAMP
The Federal Risiko og Authorization Management Program ( FedRAMP ) er en amerikanske regjeringen -Bredt program som gir en standardisert tilnærming til sikkerhetsvurdering , godkjenning og kontinuerlig overvåking for cloud produkter og tjenester. I 2011 ga Office of Management and Budget (OMB) ut et memorandum om Federal Risk and Authorization Program (FedRAMP) "for å gi en kostnadseffektiv, risikobasert tilnærming for adopsjon og bruk av skytjenester til Executive avdelinger og byråer ”. The General Services Administration (GSA) etablerte FedRAMP Program Management Office (PMO) i juni 2012. FedRAMP PMO oppgave er å fremme bruk av sikre skytjenester over den føderale regjeringen ved å tilby en standardisert tilnærming til sikkerhet og risikovurdering. I henhold til OMB -notatet må alle skytjenester som har føderale data være FedRAMP -autorisert. FedRAMP foreskriver sikkerhetskravene og leverandører av prosessskytjenester må følge for at regjeringen kan bruke tjenesten sin.
Det er to måter å godkjenne en skytjeneste gjennom FedRAMP: en foreløpig autorisasjon (JAB) for felles autorisasjon (P-ATO), og gjennom individuelle byråer.
Før introduksjonen av FedRAMP administrerte de enkelte føderale byråene sine egne vurderingsmetoder etter veiledning fastsatt av Federal Information Security Management Act fra 2002 .
Styresett og gjeldende lover
FedRAMP styres av forskjellige enheter i Executive Branch som samarbeider for å utvikle, administrere og drive programmet. Disse enhetene inkluderer: Kontoret for ledelse og budsjett (OMB): Styringsorganet som utstedte FedRAMP -policynotatet som definerer de viktigste kravene og funksjonene til programmet. Joint Authorization Board (JAB): Det primære styrings- og beslutningsorganet for FedRAMP er Chief Information Officers (CIOs) fra Department of Homeland Security (DHS), General Services Administration (GSA) og Department of Defense (DOD) . Den National Institute of Standards and Technology (NIST): Informerer FedRAMP på FISMA samsvarskrav og bistår i å utvikle standarder for akkreditering av uavhengige 3PAOs. Den Department of Homeland Security (DHS): Styrer FedRAMP kontinuerlig overvåking strategi inkludert data fôr kriterier, rapporteringsstruktur, trussel varsling koordinering, og hendelsen respons. Federal Chief Information Officers Council (CIO) Council: Formidler FedRAMP-informasjon til Federal CIOs og andre representanter gjennom kommunikasjon og arrangementer på tvers av byråer. FedRAMP PMO: Etablert i GSA og ansvarlig for utviklingen av FedRAMP-programmet, inkludert styring av den daglige driften. Det er flere lover, mandater og retningslinjer som er grunnleggende for FedRAMP. FISMA - Federal Information Security Modernization Act - krever at byråer godkjenner informasjonssystemene de bruker. FedRAMP er FISMA for skyen. FedRAMP Policy Memo krever at føderale byråer bruker FedRAMP når de vurderer, autoriserer og kontinuerlig overvåker skytjenester for å hjelpe byråer i autorisasjonsprosessen, samt spare offentlige ressurser og eliminere duplikativ innsats. FedRAMPs sikkerhetsgrunnlinjer er hentet fra NIST SP 800-53 (som revidert) med et sett med kontrollforbedringer som angår de unike sikkerhetskravene til cloud computing.
Tredjepartsvurderingsorganisasjoner
Tredjepartsvurderingsorganisasjoner (3PAOer) spiller en kritisk rolle i FedRAMPs sikkerhetsvurderingsprosess, ettersom de er de uavhengige vurderingsorganisasjonene som verifiserer skyleverandørers sikkerhetsimplementeringer og gir den generelle risikostillingen til et skymiljø for en beslutning om sikkerhetstillatelse. Disse vurderingsorganisasjonene er godkjent av American Association for Laboratory Accreditation (A2LA), og må demonstrere uavhengighet og den tekniske kompetansen som kreves for å teste sikkerhetsimplementeringer og samle representativt bevis.
FedRAMP Marketplace
FedRAMP Marketplace tilbyr en søkbar, sorterbar database over Cloud Service Offerings (CSOer) som har oppnådd en FedRAMP -betegnelse. Akkrediterte revisorer som kan utføre FedRAMP -vurderingen, kjent som 3PAO, er oppført på Marketplace. FedRAMP Marketplace vedlikeholdes av FedRAMP Program Management Office (PMO).